Jump to content
dobriloff

Viber.com LetsEncrypt SSL - А1 Network ???

Recommended Posts

dobriloff

Здравейте,

Случайно забелязах нещо доста обеспокоително за мен, за част от мрежата на A1 ssl сертификата на viber.com e издаден от LetEncypt, което на мен ми прилича на man-in-the-middle, тъй като извън мрежата на A1 SSL сертификата на viber.com се вижда ,че е издаден от GeoTrust.

По странното е как са успели да го генерират при това wildcard.

Edited by dobriloff

Share this post


Link to post
Share on other sites
111111

Viber по цял свят се хоства при мобилните оператори-послушващите служби.

Затова нямат съпорт сайт няма лист с промените и реклами не им трябват ;)

Share this post


Link to post
Share on other sites
dobriloff

Това обяснява как A1 са генерирали сертификата.. те просто имат работни отношение с Viber..

Все пак според мен е леко криво за потребителите толкова явно да бъдат подслушвани от оператора си :)

Мерси за пояснението ,чесно казано не би ми дошло на идея ,че Viber биха си съдействали с операторите , тъй като налу уж това е застъпване на пазар..

Share this post


Link to post
Share on other sites
slevin
преди 36 минути, dobriloff написа:

Това обяснява как A1 са генерирали сертификата.. те просто имат работни отношение с Viber..

Все пак според мен е леко криво за потребителите толкова явно да бъдат подслушвани от оператора си :)

Мерси за пояснението ,чесно казано не би ми дошло на идея ,че Viber биха си съдействали с операторите , тъй като налу уж това е застъпване на пазар..

Не е необходимо да имат някакви отношения с viber.com. Сам си писал в началото за mitm.

Възможно е  mitm да не се извършва точно от оператора.

Не е проблем, ако някой по пътя  разполага с веригата на доверие(примерно на медиатор или да бъде такъв) за letsencrypt, то да  генерира и подмени публичния ключ (с преизчислен fingerprint), който сървъра подава към клиента за проверка.
Все пак може да провериш дали IP адреса на хоста е един и същ както при Geotrust така и при  letsencrypt.

Share this post


Link to post
Share on other sites
dobriloff

viber си държат DNS в Akamai та няма как го сравним това. Поскоро A1 правят SSL inspection и там подменят сертификата, но все пак остава въпроса как са го генерирали , и другото което е сертификата вчера се прегенерира с нова дата.

Share this post


Link to post
Share on other sites
111111

Само се сетете преди време как се рекламираха от Вайбър.

10 Гиги от оператора трафик към Вайбър ?

за нормални 10 гиги режат глава ама за вайбър бонус.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.